Honeypot: Nehmen Sie Internetkriminelle ins Visier!
Internetkriminalität gehört inzwischen zu den bedeutendsten Geschäftsrisiken. Umso entscheidender ist es für Unternehmen, die Taktiken, Techniken sowie Verhalten der Attackierenden zu begutachten, um passende IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur und ihren geschäftskritischen Daten treffen zu können. Ein erprobtes Werkzeug dafür sind Honeypots. Was sich dahinter versteckt, wie sie wirken und warum es sich lohnt über deren Einsatz nachzudenken, erfahren Sie in dem folgenden Blogbeitrag.
Die Tage, an denen noch in den meisten Unternehmen die Meinung vorherrschte, dass Datendiebstahl, Spionage und Sabotage keine ernstzunehmende Gefahr darstellen, sind schon lange passé. Inzwischen agieren zunehmend mehr Unternehmen auf die angespannte IT-Sicherheitslage und investieren in eine Verbesserung der IT-Sicherheitsstrategie und den Ausbau der IT- Sicherheitsmaßnahmen.
Nur im Jahr 2021 haben knapp 54 Prozent der Betriebe, entsprechend der eco-IT-Sicherheitsumfrage 2022, die Ausgaben für die IT-Sicherheit erhöht.
Auch wenn die Aktivitäten um mehr IT-Sicherheit wachsen, reicht es hinsichtlich der alarmierenden Geschwindigkeit mit der frische Angriffsmethoden erfunden und gebraucht werden, keinesfalls mehr aus, lediglich auf rein präventive, detektive und reaktive IT-Sicherheitsmaßnahmen zu setzen. Vielmehr bedarf es einer IT-Sicherheitsstrategie, die darüber hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ zu erwischen – etwa durch den Einsatz von sogenannten „Honeypots“.
Honeypot: Ein Definitionsversuch!
Bei „Honeypots“ dreht es sich um fiktive Fallen – zu vergleichen mit Honigködern für Bären- in Form von augenscheinlich verwundbaren IT-Systemen oder Unternehmensnetzwerken.
Im Gegensatz zu anderen IT-Sicherheitslösungen sollen Honeypots Internetangriffe vor allem nicht abblocken. Im Gegenteil: Sie dienen als Köder, um Internetkriminelle anzulocken, ihre Angriffsmuster sowie Angriffsverhalten zu analysieren und sie im besten Fall zu erkennen.
Mit dem Ziel, dass das gelingt, müssen die eingesetzten Honeypots unter anderem authentisch scheinende Unternehmensprozesse ausführen, gängige Protokolle einsetzen, die üblichen Ports geöffnet halten und Geschäftsdaten enthalten, welche sie erscheinen lassen, wie reale Systeme.
Serverseitige und clientseitige Honeypots!
Immer öfter werden IT-Systeme sowie Unternehmensnetzwerke von Internetganoven attackiert. Um dem entgegenzuwirken, setzen zunehmend mehr Unternehmen digitale Lockfallen als ergänzende Sicherheitsmaßnahme ein. Je nachdem, welcher Zweck mit dem Honeypot verfolgt werden möchte, kann die Einführung serverseitig oder clientseitig geschehen:
- Serverseitige Honeypots
Die Grundidee des serverseitigen Honeypots ist es, Bedrohungsakteure innerhalb eines Systems in einen isolierten Bereich zu ködern und sie so von den eigentlichen interessanten und kritischen Netzwerkkomponenten abzuschirmen. Wird durch einen Honeypot zum Beispiel ein simpler Server simuliert, schlägt jener bei einem Internetangriff Gefahr, versendet Warnungen und zeichnet sämtliche feindliche Aktivitäten auf. Auf diese Weise bekommt die Unternehmens-IT Auskünfte darüber, wie die Angriffe vonstattengehen und können auf dieser Datengrundlage deren reale IT-Infrastruktur noch besser schützen.
- Clientseitige Honeypots
Bei einem clientseitigen Honeypot werden Netzwerkkomponenten oder Nutzungen inszeniert, die Server-Dienste brauchen. Paradebeispiel hierfür ist die Simulation eines Webbrowsers, welcher ganz gezielt unsichere Internetseiten besucht, um Daten über Sicherheitsrisiken zu sammeln. Geschieht über einen der Punkte ein Angriff, wird jener für eine spätere Begutachtung protokolliert.
Der Grad der Interaktivität ist maßgebend!
Honeypots zählen zu den interessantesten IT-Sicherheitskonzepten in der IT-Welt.
Ihr vorrangiges Ziel ist es die Attackierenden in die Irre zu führen und dabei unentdeckt zu bleiben.
Denn je länger sich ein Angreifer blenden lässt, desto mehr Informationen können die „Honeypots“ über die Angriffsstrategie und das Angriffsverhalten erfassen.
Eine der bedeutendsten Faktoren zur Klassifikation von Honeypots ist deshalb der Grad der Aktivität mit den Angreifern. Man unterscheidet in dem Zusammenhang sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.
- Low-Interaction-Honeypots:
Bei Low-Interaction-Honeypots handelt es sich um Fallen mit einem geringen Grad an Interaktivität. Jene basieren grundlegend auf der Imitation realer Systeme oder auch Anwendungen. Dabei werden Dienste sowie Funktionen meist nur so weit simuliert, dass eine Attacke machbar wäre.
- High-Interaction-Honeypots:
Bei High-Interaction-Honeypots hingegen, dreht es sich um Lockfallen mit einem großen Grad der Interaktivität. Es werden meist reale Systeme eingesetzt, welche Server-Dienste zur Verfügung stellen. Das wiederum erfordert eine gute Observation wie auch Absicherung. Andernfalls besteht die Gefahr, dass Angreifer die Honeypots an sich reißen, das zu schützende System infiltrieren oder von diesem ausgehend Angriffe auf weitere Server im Netzwerk einleiten.
Honeypots: Welche Vorteile und Nachteile gibt es?
Die Vorteile von Honeypotslassen sich sehen:
- Schutz vor externen Bedrohungen: Honeypots können durch die „täuschend echte“ Aufmachung Internetkriminelle von echten Zielen ablenken und ihre Ressourcen binden.
- Schutz vor internen Bedrohungen: Da Firewalls das Netzwerk bloß äußerlich absichern, dienen Honeypots ebenso dazu, interne Sicherheitsrisiken aufzudecken und ungewollten Datenabfluss zu verhindern.
- zuverlässige Angriffserkennung: Honeypots werden so konzipiert, dass sie nicht per Zufall vom Internet erreichbar sind. Dadurch wird ein „harmloser“ Traffic aus dem Internet größtenteils ausgeschlossen und jede erfasste Bewegung als Angriffsversuch bewertet.
- erkenntnisreiche Einblicke: Honeypots haben die Funktion einer risikofreien Umgebung, sodass die Unternehmens-IT alle möglichen Angriffe ganz ohne zeitlichen Druck beobachten sowie untersuchen kann. Des Weiteren können auf diese Weise auch Schwachstellen der IT-Sicherheitsinfrastruktur behoben werden.
- Rückverfolgung von Angreifern: Im Kontrast zu anderen Sicherheitslösungen kann die Unternehmens-IT mithilfe von Honeypots, Angriffe zur Quelle zurückzuverfolgen, etwa über die IP-Adressen.
Ein Honeypot allein schützt vor Attacken nicht!
Doch auch beim Gebrauch von Honeypots ist nicht alles Gold was glänzt. Die größte Gefahr besteht darin, dass Honeypots bei mangelhafter Implementation durch Internetkriminelle übernommen sowie ausgenutzt werden können, um die Firmen-IT mit falschen Daten zu füttern sowie noch mehr bösartige Angriffe auf andere Systeme im Netzwerk starten werden.
Resümee: Honeypots sind ein Muss!
Internetkriminalität zählt mittlerweile zu den bedeutendsten Geschäftsrisiken.
Umso wichtiger ist es, dass Unternehmen neben hochwertigen Firewalls, wirksamen Netzwerk-Intrusion-Detection- und Prevention-Lösungen und leistungsfähigen Multi-Faktor-Authentifizierung-Lösungen sowie Verschlüsselungsverfahren ergänzende IT-Sicherheitsmaßnahmen wahrnehmen, um Eindringlinge auf frischer Mission zu ergreifen. Und exakt hier kommen Honeypots zum Tragen. Diese können, wenn sie richtig verwendet werden, wertvolle Bestandteile einer mehrschichtig konzipierten IT-Sicherheitsstrategie sein und das Unternehmen vor rafinierten Internetangriffen, aber auch vor Insiderbedrohungen bewachen.
Wollen auch Sie durch den Gebrauch von Honeypots, Ihre IT-Sicherheitsstrategie verbessern und Ihre IT-Infrastruktur mit noch effektiveren IT-Sicherheitsmaßnahmen stärken. Oder haben Sie noch Anliegen zum Thema? Sprechen Sie uns an!
